マイクロソフト ビジネスWindows製品部 マネージャ 中川哲氏

8月7日　実施

　マイクロソフト株式会社は7日、次期OSの「Windows Vista」のセキュリティに対する取り組みについてのセミナーを都内で開催した。

Vistaの“価値”

　冒頭では、同社 ビジネスWindows製品部 マネージャ 中川哲氏が挨拶。同氏は、「Windows Vistaは、ユーザーにとっては生産性の向上およびモバイル&コラボレーションの強化が、管理者にとってはセキュリティおよびデスクトップインフラの最適化がメリットとなる」とVista導入のメリットを紹介。

　また、「この中でも特にセキュリティに特化した設計をしており、セキュリティツールである“Windows Defender”や“同Firewall”だけでなく、OSアーキテクチャの設計段階からセキュリティの強化に注力し、『Windows史上最強のセキュリティ』を実現した」とアピールした。

Windows本部 ビジネスWindows製品部 シニアプロダクトマネージャ 永妻恭彦氏

　Windows Vistaに採用されているさまざまなセキュリティ技術について、同社Windows本部 ビジネスWindows製品部 シニアプロダクトマネージャ 永妻恭彦氏が説明にあたった。

　同氏は、これまでWindows XP Service Pack 2で採用されたセキュリティ技術について取り上げ、「SP2では、当時流行したポートへの攻撃、Eメール添付のウィルス、悪意のあるWebサイト、およびバッファオーバーランに対する施策を行なったが、近年PCに対する脅威が多様化し、アカウントの盗用、パスワードの推測、PCの盗難やデータの流出などが問題になりつつある。Windows Vistaではこれらの対策を行なうため基盤を強化し、プラットフォーム/データ保護、およびマルウェア対策を施した」と説明した。

　Windows Vistaは、設計段階の時点からセキュリティに対して特化した設計にしたのはこれまでのWindowsシリーズの中では初としており、Microsoft社内でセキュリティアドバイザおよびOSに対して攻撃を専門に行なうチームなどを設置し、セキュリティ向上を図ったという。

Microsoftのセキュリティに対する取り組み	Windows XP Service Pack 2で想定していたセキュリティリスク
近年は新たなセキュリティリスクが増加	Vistaのセキュリティリスクへの対応

　その1つとして「Windows BitLocker」を取り上げ、「HDDの内容を暗号化し、USBメモリを挿入して利用しないとWindowsが立ち上がらないような仕組みを採用したことにより、盗難時に対するデータ漏洩のリスクを削減させた」とした。

Windows BitLockerにより物理的にHDDデータを保護	BitLockerで暗号化されたドライブは他のPCから参照できない

　マルウェア対策としては「Windows Defender」があり、スパイウェアの検出および駆除がリアルタイムに行なえる。ユーザーが手動でスキャンも行なえるが、ウイルスに関しては検出できないため、従来どおりサードパーティが提供するソフトを利用する。

　一方OSアーキテクチャの強化としては、管理者(Administrators)およびスタンダードユーザー(Users)の権限モデルを一新した。これまで管理者はすべてのOSタスクおよびアプリケーションの実行が行なえたが、Vistaでは管理者権限でログオンしても、スタンダードユーザーと同様の権限しか付与されない。これにより、リスクがあるタスク/プログラムに対してポップアップで確認を促し、明示的な指示がない限り実行できないようになったため、悪質なスクリプトなどを自動実行するプログラムからPCを保護できる。

　スタンダードユーザーについてはこれまで限られたOSタスクと一部のプログラムしか実行できなかったが、Vistaでは一般的なOSタスクとUACに準拠したプログラムの実行が可能になった。

　これについて永妻氏は、「これまでスタンダードユーザーは利便性に欠けていた権限の影響で、結局ビルドインのAdministratorでOSが使われてしまい、脅威に対するリスクが増していた。Vistaではスタンダードユーザーの利便性が向上したため、脅威に対するリスクが減る」と指摘した。

　加えて、サービスに対する保護も追加された。これまでWindowsの各サービスは、1番目にPCにログオンしたユーザーと同じメモリセッション(セッション0)でそのほかのプログラムと平行して走らせていたが、VistaではWindowsサービスをセッション0で走らせ、ユーザーのプログラムはセッション1以降で実行されるようになった。これにより悪質なプログラムがWindowsのサービスに感染することを防げるという。

Vistaでは管理者でログオンしても起動時ではスタンダードユーザーと同じ権限しか与えられない	管理者権限でログオンしても一部リスクの大きいタスクに関しては実行時にダイアログで促す
ポリシーマネージャを使用すればダイアログで促さないと設定できる	Windowsサービスはユーザープログラムとの実行領域を隔離した

　ログオンのプログラムについても、これまでのGINA(Graphical Identification and Authentication)を使用していたため、生体認証やスマートカードなどのデバイスと併用する場合はGINAを再開発する必要があったが、VistaではGINAを撤廃し複数のデバイスでの利用が容易に実現できるようになった。

　最後に同氏は、「セキュリティの向上により、管理者は運用コストを大幅に下げられることは実証済みで、今後も企業のVistaへの移行を促進させたい」と話した。

□マイクロソフトのホームページ
http://www.microsoft.com/japan/
□Windows Vistaのホームページ
http://www.microsoft.com/japan/windowsvista/
□関連記事
【4月21日】マイクロソフト、Windows Vista記者説明会を開催
http://pc.watch.impress.co.jp/docs/2006/0421/ms1.htm

(2006年8月7日)

[Reported by ryu@impress.co.jp]